Ir para conteúdo

Enquadramento Europeu



Apresentação 

O Enquadramento Europeu de Certificação da Cibersegurança é o ecossistema da União Europeia que permite a criação e definição de esquemas de certificação europeus para produtos e serviços TIC individualizados e baseados no risco.

Atualmente, existem na UE vários esquemas diferentes de certificação de segurança para produtos TIC e que, frequentemente, incidem sobre a mesma categoria de produtos ou de serviços, aumentando o risco de fragmentação e de estabelecimento de barreiras entre os Estados-Membros. Neste cenário, um fabricante ou prestador de um dado produto ou serviço TIC e que pretenda certificar esse produto ou serviço em mais do que um Estado-Membro da União Europeia, poderá ter de seguir tantos processos de certificação quantos os países onde deseje obter o certificado. 

O Enquadramento Europeu de Certificação da Cibersegurança pretende harmonizar a certificação da cibersegurança a nível europeu, eliminando custos e excessos burocráticos. Permite que a entidade que obtenha um certificado europeu num qualquer Estado-Membro veja esse certificado reconhecido e aceite em todos os restantes.



Objetivos

•    Aumentar os níveis de cibersegurança e de confiança nos produtos, serviços e processos TIC na UE
•    Reduzir a fragmentação, evitando a proliferação de esquemas nacionais de certificação e promovendo a harmonização
•    Criar condições equitativas como pilares de um mercado europeu de certificação



Oportunidades para entidades nacionais 

•    para organismos de certificação nacionais – permite aos organismos de certificação nacionais que se venham a acreditar em esquemas europeus a alargar a sua base de mercado, permitindo-lhes conduzir processos de certificação e emitir certificados para clientes de toda a União Europeia
•    para fabricantes, prestadores de serviços e outras empresas nacionais – a certificação europeia permite, através de um único processo de certificação, a obtenção de um certificado válido e reconhecido em todos os Estados-Membros da União Europeia, reforçando a presença das entidades interessadas nos mercados que lhes são relevantes, e evitando-lhes o esforço e custos suplementares inerentes à obtenção de um certificado por cada país em cujo mercado se pretenda atuar.



Elementos dos Esquemas Europeus

Cada esquema europeu deverá especificar:
•    as categorias de produtos e serviços abrangidos;
•    os requisitos de cibersegurança, por exemplo, por referência a normas ou especificações técnicas;
•    o tipo de avaliação efetuado, como a autoavaliação ou a avaliação por terceiros;
•    o nível de garantia pretendido – «básico», «substancial» ou «elevado»

Os níveis de garantia são proporcionais ao nível de risco associado à utilização pretendida do produto, serviço ou processo, em termos de probabilidade e impacto de um acidente. Um elevado nível de garantia significaria que o produto certificado passou nos testes de segurança mais exigentes.



Esquemas europeus de certificação da cibersegurança

Compete à ENISA a elaboração de esquemas europeus de certificação da cibersegurança.
O CNCS tem vindo a cooperar ativamente na elaboração dos esquemas europeus de certificação da cibersegurança, através da participação nos grupos de trabalho ad-hoc estabelecidos pela ENISA para o efeito.

Atualmente, os esquemas europeus elaborados ou em processo de elaboração são:
•    EUCC – esquema europeu de certificação da cibersegurança baseado nos Critérios Comuns das TIC – concluído 
•    EUCS – esquema europeu de certificação da cibersegurança para serviços de computação na nuvem – em elaboração
•    EU5G – esquema europeu de certificação da cibersegurança para as redes 5G – em elaboração


EUCC
O EUCC – esquema europeu de certificação da cibersegurança baseado nos Critérios Comuns das TIC tem por objetivo a certificação da cibersegurança dos produtos TIC, com base nos Critérios Comuns, na Metodologia Comum de Avaliação da Segurança das Tecnologias da Informação e nas normas correspondentes, respetivamente a ISO/IEC 15408 e ISO/IEC 18045.
É aplicável a todas as categorias de produtos, serviços e processos TIC e prevê a certificação nos níveis de garantia «substancial» e «elevado».
Este esquema foi já concluído pela ENISA e adotado pelo Grupo Europeu de Certificação da Cibersegurança, aguardando-se para breve a publicação do ato de execução correspondente que o operacionaliza na União Europeia.

Mais informação aqui
EUCS
O EUCS – esquema europeu de certificação da cibersegurança dos serviços de computação na nuvem tem por objetivo a certificação da cibersegurança dos serviços de computação na nuvem.
Este esquema encontra-se ainda em elaboração, mas, na sua versão atual, prevê a certificação nos três níveis de garantia admitidos no Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019, ou seja, o «básico», «substancial» e «elevado».

Mais informação aqui.

EU5G
O EU5G – esquema europeu de certificação da cibersegurança para as redes 5G Tecnologias 5G tem por objetivo reforçar a cibersegurança das redes 5G, como parte de uma estratégia mais ampla de mitigação dos riscos de cibersegurança associados às tecnologias 5G.
Este esquema encontra-se ainda num estado preliminar de elaboração.

Mais informação aqui.



Grupo Europeu de Certificação da Cibersegurança (GECC)

O CNCS, enquanto Autoridade Nacional de Certificação da Cibersegurança, representa o país no Grupo Europeu de Certificação da Cibersegurança, fórum estratégico da certificação da cibersegurança na UE que tem, entre outras, as missões de aconselhar e apoiar a Comissão no domínio da certificação da cibersegurança e da implementação e aplicação coerentes do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019, em particular no que diz respeito ao programa de trabalho evolutivo da União, às questões de política de certificação de cibersegurança, à coordenação das abordagens políticas e à elaboração de esquemas europeus de certificação da cibersegurança; apoiar, aconselhar e cooperar com a ENISA em relação à elaboração de esquemas candidatos; elaborar e adotar pareceres sobre os esquemas candidatos preparados pela ENISA; solicitar à ENISA a elaboração de esquemas candidatos.
Última atualização em 29-12-2022